实验防火墙基本配置

《实验防火墙基本配置》由会员分享，可在线阅读，更多相关《实验防火墙基本配置（8页珍藏版）》请在装配图网上搜索。

1、实验七 交换机基本配置一、实验目的（1）吏用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步 的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。实验设备与器材熟悉交换机开机界面；（2）掌握Quidway S系列中低端交换机几种常用配置方法；（3）掌握Quidway S系列中低端交换机基本配置命令。二、实验环境Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机，标准Console配置线。三、实验内容学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。预备知识1、防火墙防火墙作为Intern

2、et访问控制的基本技术，其主要作用是监视和过滤通过它 的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃， 以拒绝非法用户访问网络并保障合法用户正常工作。2、包过滤技术一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包， 先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地 址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数 据包进行转发或者丢弃。3、访问控制列表路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够 通过，这些规则就是通过访问控制列表ACL（Access Control List

3、）定义的。访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则 根据数据包的源地址、目的地址、端口号等来描述ACL通过这些规则对数据包进 行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以 接收，哪些数据包需要拒绝。访问控制列表(Access Control List )的作用访问控制列表可以用于防火墙；访问控制列表可用于Qos(Quality of Service)，对数据流量进行控制； 访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。一个IP数据包如下图所示(图中IP所承载的上层协议为TCP)ACL

4、的分类按照访问控制列表的用途，可以分为四类： 基本的访问控制列表(basic acl) 高级的访问控制列表(advanced acl) 基于接口的访问控制列表(interface-based acl) 基于MAC的访问控制列表(mac-based acl)访问控制列表的使用用途是依靠数字的范围来指定的，10001999是基于接口 的访问控制列表，20002999范围的数字型访问控制列表是基本的访问控制列表， 30003999范围的数字型访问控制列表是高级的访问控制列表,40004999范围的 数字型访问控制列表是基于MAC地址访问控制列表。4、防火墙的配置项目防火墙的配置包括：允许/禁止防火墙

5、配置标准访问控制列表配置扩展访问控制列表配置在接口上应用访问控制列表的规则设置防火墙的缺省过滤方式设置特殊时间段指定日志主机允许/禁止防火墙在报文过滤时，应先打开防火墙功能，这样才能使其它配置生效。 请在系统视图下进行下列配置。表1允许/禁止防火墙操作命令启动防火墙firewall enable禁止防火墙firewall disable缺省情况下，防火墙处于“启动”状态。配置标准访问控制列表标准访问控制列表序号可取值199之间的整数。首先应使用acl命令进入到 ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访 问规则。若不配置匹配顺序的话，按照auto方式进行。请

6、在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。表2配置标准访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序acl acl-number match-order config | auto 配置标准访问列表规则rule normal | special permit | deny sourcesource-addr source-wildcard any 删除特定的访问列表规则undo rule rule-id | normal | special删除访问列表undo acl acl-number| all normal指该规则是在普通时间段内起起用；spec

7、ial指该规则是在特殊时间段 内起作用，使用special时用户需另外设定特殊时间段。具有同一序号的多条规则 按照“深度优先原则”进行匹配。缺省情况下，为normal时间段。配置扩展访问控制列表扩展访问控制列表可取值100199之间的整数。首先应使用acl命令进入到 ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访 问规则。若不配置匹配顺序的话，按照auto方式进行。请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。表3配置扩展访问控制列表操作命令进入ACL视图并配置访 问控制列表的匹配顺序acl acl-number match-order

8、config | auto 配置TCP/UDP协议的扩展访问列表规则rule normal | special permit | deny tcp | udp source source-addr source-wildcard any source-port operator portl port2 destination dest-addr dest- wildcard any destination-port opera tor por t1 por t2 logging配置ICMP协议的扩展访问列表规则rule normal | special perm it | deny ICMP

9、source source-addr source-wildcard any destination dest-addr dest- wildcard any icmp-type icmp-type icmp-code logging删除特定的访问列表规 则undo rule rule-id | normal | special删除访问列表undo acl acl-number| all 从表2和表3中的rule配置命令的参数中可以看出标准列表仅能对source数据源作规则设置，而扩展控制列表则还可以对destination目的地址进行规则设置。参数说明：normal指该规则是在普通时间段内起

10、起用；special指该规则是在 特殊时间段内起作用，使用special时用户需另外设定特殊时间段。具有同一序号 的多条规则按照“深度优先原则”进行匹配。缺省情况下，为normal时间段。设置防火墙的缺省过滤方式 防火墙的缺省过滤方式是指：当访问规则中没有找到一个合适的匹配规则来判定用 户数据包是否可以通过的时候，将根据用户设置的防火墙的缺省过滤方式来决定究 竟允许还是禁止报文通过。请在系统视图下进行下列配置。表4设置防火墙缺省过滤方式操作命令设置防火墙的缺省过滤方式为允许报文通过firewall default permit设置防火墙的缺省过滤方式为禁止报文通过firewall defaul

11、t deny缺省情况下，防火墙的缺省过滤方式为允许报文通过。配置在接口上应用访问控制列表的规则若要实现接口对报文的过滤功能，就必须先将相应访问控制列表规则应用到接 口上。用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制 规则。请在接口视图下进行下列配置。表5配置接口上应用访问控制列表的规则操作命令配置在接口的入口或出口方向上应用访问控制列表规则firewall packet-filter acl-number inbound | outbound 取消在接口的入口或出口方向上应用访问控制列表规则undo firewall packet-filteracl-numberinbo

12、und | outbound 缺省情况下，接口上未定义过滤报文的规则。在一个接口的一个方向上（inbound或outbound方向），最多可以应用20条访问规则。即在firewall packet-filter inbound方向上可应用20条规则；在 firewall packet-filter outbound 方向上也可应用 20 条规则。若两条互相冲突的规则序号不同，优先匹配acl-number较大的规则。 防火墙的显示和调试在所有视图下使用debugging、reset、display命令。表3-12防火墙的显示和调试操作命令显示包过滤规则及在接口上的应 用display acl a

13、ll | acl-number |interface type number 显示防火墙状态display firewall显示当前时间段的范围display timerange显示当前时间是否在特殊时间段 之内display isintr清除访问规则计数器reset acl counters acl-number 打开防火墙包过滤调试信息开关debugging filter all | icmp | tcp | udp3.8.4 实验过程1、防火墙配置实验示例组网方案 要求通过配置静态路由，使任意两台主机或路由器之间都能两两互通。网络拓扑请按下图连接好线缆，并配置好路由器接口和计算机的IP地

14、址，所有的子网掩 码均为24位掩码。图2配置防火墙组网图2、配置步骤首先用分别Console线缆连接两个路由器并进入配置视图，按下面步骤对接口 进行配置。配置好计算机的IP地址和子网掩码，计算机A的网关地址设置为 10.100.110.100，计算机B的网关地址设置为10.100.120.100#配置路由器Router A启动防火墙RouterA firewall enable#配置路由器接口 IPRouterA interface Ethernet 0/0RouterA-Ethernet0/0ip address 192.10.1.1 24RouterA-Ethernet0/0quitRou

15、terA interface Ethernet 0/1RouterA-Ethernet0/1ip address 10.100.110.100 24RouterA-Ethernet0/1quit# 配置路由器静态路由RouterA ip route-static 10.100.120.0 255.255.255.0 192.10.1.2#配置路由器Router B,并启动防火墙RouterB firewall enable#配置路由器接口 IPRouterBinterface Ethernet 0/0RouterB-Ethernet0/0ip address 192.10.1.2 24Rout

16、erB-Ethernet0/0quitRouterBinterface Ethernet 1RouterB-Ethernet0/1ip address 10.100.120.100 24RouterB-Ethernet0/1quit# 配置路由器静态路由RouterA ip route-static 10.100.110.0 255.255.255.0 192.10.1.1 #测试网络连通性在计算机A上使用命令：Ping 10.100.120.139#在路由器A上设置标准控制列表廿在路由器A上验证标准访问控制列表禁止IP地址为10.100.110.138的主机访问 10.100.120的网络，

17、而允许其他IP访问。进入2001号标准访问控制列表视图RouterA acl number 2001设置控制规则RouterA-acl-2001 rule deny source 10.100.110.138 0.0.0.0#上条命令中最后一个参数0.0.0.0是反掩码，用来唯一确定一个IP,若改为0.0.0.255则用来确定对一个C类的网络实施访问控制。廿允许其他的IP地址的数据通过路由器A访问外网RouterA-acl-2001 rule permit source any#注意：2001号控制列表有上面有两条规则，其匹配时按深度优先规则，先匹配精确的规则，因此当IP时10.100.110

18、.138时将先按第一条规则执行返回系统视图RouterA-acl-2001 quit廿进入接口 LAN 1,在其上应用访问控制列表的规则RouterA interface Ethernet 0/1RouterA-ethernet0/1 firewall packet-filter 2001 inbound廿这时若把IP地址改为其他的地址，如：10.100.110.140则可以通过路由器访问 外网。可以用Ping命令测试连通性廿在路由器B上使用扩展控制列表RouterB acl number 3002廿设置控制规则，只禁止目的IP地址为10.100.110.138数据通过路由器B的Etherne

19、t 0/0，其他目的地址的数据包都能通过。RouterB-acl-3002 rule deny ip destination 10.100.120.138 0.0.0.0 #允许所有除了上个规则外的数据包访问外网RouterB-acl-3002 rule permit ip source any destination any#进入接口 Et her net 0/0，在其上应用访问控制列表的规则RouterB interface Ethernet 0/0RouterB-Ethernet 0/0 firewall packet-filter 3002 outbound廿这时若计算机A的IP为10.100.110.138,则在计算机B上使用Ping命令则无法 连通，若将计算机A的IP改为其他地址则可以连通计算机B3.8.5 实验总结根据实验情况简单描述自己对防火墙工作原理的认识并列举出一种防火墙其它 应用案例。